近日,一封来自OpenClaw创始人Peter的官方邮件引发网络安全领域关注。邮件中,Peter正式确认了由360安全云团队独立发现的OpenClaw Gateway存在高危漏洞。该漏洞涉及WebSocket协议的无认证升级机制,属于典型的零日(0Day)安全风险。
据技术分析,攻击者可利用此漏洞绕过系统权限验证,通过WebSocket通道直接获取智能体网关的控制权限。这种隐蔽的攻击方式不仅可能导致目标系统资源被恶意消耗,甚至可能引发整个服务架构的全面瘫痪。360安全团队在发现漏洞后,已第一时间将详细信息上报至国家信息安全漏洞共享平台(CNVD),为行业防范风险争取了宝贵时间。
随着人工智能技术从基础对话功能向复杂执行系统演进,安全防护的边界正在发生根本性变化。专家指出,当前智能体系统的安全威胁已从模型算法层快速蔓延至接口调用、技能组件和系统权限等核心链路。公网暴露的服务接口、缺乏审核的第三方技能组件、以及容易被注入恶意指令的交互接口,正在成为威胁智能体生态安全的三大薄弱环节。
此次漏洞确认具有特殊意义——它标志着国内安全研究机构在智能体执行链路层的风险识别能力达到国际先进水平。360团队通过构建完整的攻击链模拟环境,成功复现了从权限绕过到系统控制的完整攻击路径,为行业提供了极具参考价值的防御范式。这种从底层协议到上层应用的系统性安全研究,正在重塑人工智能时代的安全防护标准。
安全业界普遍认为,随着智能体在金融、医疗、工业控制等关键领域的深度应用,此类底层协议漏洞的危害性将呈指数级增长。建立覆盖全生命周期的安全评估体系,已成为保障智能体技术健康发展的当务之急。此次事件再次提醒行业:在追求技术创新的同时,必须同步构建与之匹配的安全防御能力。
